Amazon Virtual Private Cloud

在 Amazon Web Services (AWS) 云中预置一个逻辑隔离的部分,让您可以在自己定义的虚拟网络中启动 AWS 资源

借助 Amazon Virtual Private Cloud (Amazon VPC),您可以在 AWS 云中预置一个逻辑隔离的部分,从而在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。您在 VPC 中可以使用 IPv4 和 IPv6,因此能够轻松安全地访问资源和应用程序。

您可以轻松自定义 Amazon VPC 的网络配置。例如,您可以为 Web 服务器创建一个能访问 Internet 的公有子网。此外,您还可以将后端系统(如数据库或应用程序服务器)安置在无 Internet 访问的私有子网中。您可以使用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon EC2 实例的访问进行控制。

VPC 基础知识和连接选择 (50:50)

优势

安全

Amazon VPC 提供了安全组和网络访问控制列表等高级安全功能,可在实例和子网级别启用入站和出站筛选功能。此外,您还可以在 Amazon S3 中存储数据并限制访问,使得只能从 VPC 中的实例访问这些数据。如需更多安全性 ,您可以在硬件级别创建与其他 AWS 账户物理隔离的专用实例

简单

通过 AWS 管理控制台快速又方便地创建 VPC。从常用网络设置中进行选择并找到最符合您需求的设置。子网、IP 范围、路由表和安全组将会自动创建。在设置和管理上花费的时间缩短,因此,您可以集中精力构建在 VPC 中运行的应用程序。

可自定义

掌控您的虚拟联网环境,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关。自定义网络配置,例如通过为可访问 Internet 的 Web 服务器创建公有子网,而将数据库或应用程序服务器等后端系统安置在无 Internet 访问的私有子网中。

使用案例

托管面向公众的简单网站

在 VPC 中托管博客等基本 Web 应用程序或简单的网站,获得 Amazon VPC 提供的额外隐私保护和安全性。您可以创建安全组规则,在允许 Web 服务器响应入站 HTTP 和 SSL 请求的同时,禁止该 Web 服务器发起访问 Internet 的出站连接,以此巩固网站的安全保护。从 Amazon VPC 控制台向导中选择“VPC with a Single Public Subnet Only”即可创建支持此类使用案例的 VPC。

托管多层 Web 应用程序

托管多层 Web 应用程序,在您的 Web 服务器、应用程序服务器和数据库之间严格实施访问和安全限制。在私有子网中运行应用程序服务器和数据库时,在公众可访问的子网中启动 Web 服务器,以便无法直接通过 Internet 访问应用程序服务器和数据库。您可以使用由网络访问控制列表和安全组提供的入站和出站数据包筛选功能,控制服务器和子网之间的访问。要创建支持此类使用案例的 VPC,您可以在 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets”。

灾难恢复

通过将 Amazon VPC 应用于灾难恢复,您可以享有灾难恢复站点的全部优点,而成本却只占花费的一小部分。您可以定期将关键数据从数据中心备份到少量配有 Amazon Elastic Block Store (EBS) 卷的 Amazon EC2 实例中,或者将虚拟机映像导入到 Amazon EC2 中。您可以快速地启动 AWS 中的替代计算容量,以确保业务连续性。灾难过后,您可以将关键任务型数据发回到数据中心,并终止您不再需要的 Amazon EC2 实例。

将公司网络扩展到云中

通过将 VPC 与公司网络连接,将公司应用程序移至云中、启动额外的 Web 服务器,或者增加网络的计算容量。由于 VPC 可以托管在公司防火墙的后方,因此您可以将 IT 资源无缝迁移到云中,并且不必更改用户对这些应用程序的访问方式。从 Amazon VPC 控制台向导中选择“VPC with a Private Subnet Only and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

将云应用程序安全地连接到数据中心

Amazon VPC 与公司网络之间的 IPsec VPN 连接可对云中的应用程序服务器与数据中心内的数据库之间的所有通信进行加密。您的 VPC 中的 Web 服务器和应用程序服务器可以利用 Amazon EC2 的弹性功能和 Auto Scaling 功能,根据需要进行扩展和收缩。从 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

带外和内联流量检测

Amazon VPC 流量镜像功能可以从 EC2 实例的弹性网络接口 (ENI) 复制流量以及完整的负载数据,并将其传输至带外镜像和安全分析工具。

Amazon VPC 入口路由使您能够轻松地部署网络和安全设备(包括第三方产品),内联至入站或出站 Amazon VPC 流量。内联流量检测有助于您筛选和保护流量安全,防止您的工作负载遭到恶意因素破坏。

合作伙伴

Paloalto Logo
“将新一代 VM 系列虚拟防火墙与新的 Amazon VPC 入口路由功能集成之后,客户可以更轻松地确保至其 VPC 的所有入口流量均经过威胁防护服务的筛选。通过将 VM 系列虚拟防火墙作为线缆中的块插入到旧环境中,客户可以无缝地保护来自 Internet 及其数据中心的入站流量。”

- Mukesh Gupta,VM 系列产品管理副总裁

Fortinet_Logo
“Amazon VPC 入口路由功能支持对进入其业务关键 VPC 的任何流量启用 Fortinet 网络安全,使 Fortinet 让客户更加放心。此外,VPC 入口路由功能还支持更多灵活的解决方案,有助于在单个 VPC 中保护具有单独 Fortinet 产品的不同工作负载的安全。更安全和灵活的架构最终将帮助客户降低与错误配置相关的风险,并进一步扩展云部署。”

- Lior Cohen, Sr.Fortinet 云安全产品和解决方案总监

CP_logo
“我们的企业客户通常使用 AWS Transit Gateway 来部署 CloudGuard 高级威胁防护,但这不适用于 VPC 数量有限的中小型企业。VPC 入口路由增强功能为客户提供了更小规模的部署,使客户能够更轻松、更高效、更自然地将流量重定向到 VPC,以实现更高级的安全性。”

– Zohar Alon,Check Point Software 云产品负责人

Barracuda_Logo
“通过 VPC 入口路由功能,我们的客户可以在所有外部流量达到目的地之前通过 Barracuda 的 CloudGen 防火墙对其进行筛选。使用 VPC 入口路由功能,客户现在可以根据其目的地应用自定义的深度包检测策略。VPC 入口路由功能为 Amazon VPC 原生的,使我们的客户能够更轻松地部署 Barracuda 的内联云安全解决方案”

- Klaus Gheri,Barracuda Networks 网络安全总经理/副总裁

Sophos_Logo
“组织能否保护云基础设施及其中流量的安全至关重要,因为网络罪犯越来越倾向于针对这些云环境发起高级攻击。”AWS 和 Sophos 正在着手解决云安全问题。利用入口路由的扩展支持,Sophos UTM 可提供更高的安全级别,以确保流入和流出 VPC 和其他虚拟设备的流量受到保护。”

- Andy Miller,Sophos 全球公共云高级总监

Aviatrix Logo
“利用新的 Amazon VPC 入口路由增强功能,客户现在可以将 VPC 网络流量路由到高级内联服务。Aviatrix 原生云联网软件支持并扩展原生 AWS 服务,这样一来,将新的 VPC 入口路由将 AWS GuardDuty 服务相结合之后,可通过 Aviatrix 网关提供入口和出口实施策略。”

- Sherry Wei,Aviatrix 创始人兼首席产品官

citrix-logo-black
“如今的用户并不关心在何处托管执行工作所需的应用程序。他们只希望以一致、可靠的方式完成任务。借助 Citrix® ADC 与 AWS 的 Amazon VPC 入口路由功能的集成,我们可以通过便捷的交付模型为大众提供经过验证的企业级解决方案,并提供出色的体验,支持客户将工作做到最好。”

- Mihir Maniar,Citrix 产品管理、联网部副总裁

Trend Micro Logo
“Trend Micro 为 AWS 上的数以千计客户提供多层混合云安全解决方案。Amazon VPC 入口路由功能可以拓宽我们的云网络安全解决方案的采用并提高部署灵活性,从而使我们的客户能够快速、大规模地保护其 AWS VPC,而不会中断其业务应用程序。”

- Steve Quane,Trend Micro 网络防御和混合云安全执行副总裁

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
“FireEye Network Security 客户已从能够对其 AWS 环境应用高级威胁保护和漏洞检测中受益。Amazon VPC 入口路由功能的推出使得在 AWS 中部署 FireEye Network Security 解决方案变得更加轻松。通过此新功能,客户能够将流入和流出 VPC 的南北流量通过互联网网关和虚拟私有网关重定向至第三方设备,无需使用 NAT 网关。这使得客户能够将流量定向至特定设备,以实现专业扫描。FireEye 客户已从轻松部署以及与其本地、私有和公共云数据中心的更紧密集成中受益。”

- Ramesh Gupta,FireEye 网络安全产品总经理

Versa Logo
“Versa 的 SD-WAN 管理和编排平台支持端到端工作流程自动化,包括在 AWS 上安装和启用 WAN 边缘设备。现在,客户还可以使用 Amazon VPC 入口路由功能将流入和流出 VPC 的流量通过互联网网关和虚拟私有网关重定向至本地 Versa 的 NGFW 安全设备。”

- Versa Networks 首席营销官

ShieldX_Logo
“ShieldX Elastic Security Platform (ESP) 旨在保护现代化多云数据中心的安全。ESP 是一款无代理的云无关解决方案,旨在提供全面、一致的安全控件来保护动态数据中心、云基础设施、应用程序和数据,不受其所在位置及目标传输位置的影响。作为 AWS 合作伙伴,ShieldX 与 AWS 网络功能(如 VPC 流量镜像和 VPC 入口路由)相集成,以实现持续资产发现、自动网络安全策略生成和第 7 层检测。总之,这些功能为企业提供了用于监控和防止网络流量遍历 AWS 公共云内南北和东西的综合解决方案。”

- Ken Levine,ShieldX 首席执行官

Vectra Logo
“Amazon VPC 入口路由功能使我们的客户能够在所有外部流量到达子网之前对其进行筛选。它是 Amazon VPC 中原生的,使我们的客户能够在云中部署网络检测和响应解决方案。”

- Kevin Sheu,Vectra 产品营销副总裁

IBM Security Logo
“IBM Security 可以帮助客户最大化其 AWS 本地安全控制的有效性。我们可以为客户提供安全架构设计以及 AWS 控件的选择和部署服务,以实现最高级别的安全。Amazon VPC 入口路由功能使我们能够灵活地在 VPC 边缘部署安全解决方案,从而可以在流量到达 VPC 内所含的工作负载之前对南北流量进行筛选和阻止。”

- Mike Sanders,IBM Security Services 云安全产品战略项目总监

Lastline Logo
“利用我们的原生云网络检测和响应平台,Lastline 与 AWS 紧密合作,提高了 AWS 中的客户数据的安全性。Amazon VPC 入口路由功能使我们能够为客户提供无与伦比的灵活性以及对其 AWS 网络的内联流量可见性。”

– Christopher Kruegel,哲学博士,Lastline 共同创始人兼 首席产品官

Netscout Logo black
“最近推出的 Amazon VPC 入口路由增强功能以及 Amazon VPC 流量镜像功能,使得 NETSCOUT 能够有效地监控 AWS 中的 VPC 内部及之间的流量,并对其加以高效利用,以便在本地数据中心、AWS 和混合云中实现无边界可见性。”

- Bruce Kelley, Jr.,NETSCOUT 服务提供程序部高级副总裁、首席技术官

Valtix_Logo
“Valtix 首先发现应用程序,然后部署网络安全解决方案并在 AWS 区域内持续保护这些应用程序的安全,从而革新了内联云网络安全。通过 Amazon VPC 入口路由功能,Valtix 原生云防火墙集群能够获取 Internet 以及 VPC 内的子网间的应用程序流量路径,从而获得对 AWS 中运行的企业应用程序的完整网络流量可见性。”

- Vijay Chander,Valtix 首席技术官

128T Logo
“企业需要使其数据中心更安全、更可靠地连接到 Amazon VPC,128 Technology 的 Session Smart™ Router 可以为客户提供卓越的安全和可靠性并降低复杂性。增加 VPC 入口路由功能之后,我们的客户可以更好地控制流入其 Amazon VPC 的流量。128 Technology 很荣幸能够成为支持此服务的优选生态系统协作者组中的一员。”

- Andy Ory,128 Technology 首席执行官

Forcepoint
“在当今拥有高移动性的劳动力和全球分布式业务环境中,Forcepoint 支持云的 NGFW 可以让客户在任何地方均可安全、无障碍地访问关键数据和知识产权,同时降低组织的混合 IT 堆栈上的零时差攻击和其他新兴威胁的风险。新增 Amazon VPC 入口路由功能之后,Forcepoint NGFW 客户可以在其网络安全分段中获得更多的多功能性,并且以在 Forcepoint 的安全平台中类似的使用方式,充分利用其安全功能的优势,以提供动态边缘保护服务。”

- Nicolas Fischbach,Forcepoint 全球首席技术官

开始使用 Amazon VPC

您可以在随时可用的默认 VPC 中自动预置 AWS 资源。对此 VPC 进行配置操作,如添加或删除子网、连接网络网关、更改默认路由表和修改网络 ACL。

从 AWS 管理控制台上的 Amazon VPC 页面创建其他 VPC,方法是选择“Start VPC Wizard”按钮。您将会看到四种基本网络拓扑。从中选择与您要创建的网络拓扑最相似的一种,然后单击“Create VPC”按钮。您随后可以进一步自定义拓扑,以更符合您的需求。不久之后,您就可以开始启动 VPC 内的 Amazon EC2 实例。

博客文章

Debugging tool for network connectivity from Amazon VPC
作者:Bhavin Desai
 
2019 年 1 月 19 日
VPC sharing: A new approach to multiple accounts and VPC management
作者:Evgeny Vaganov  
 
2019 年 1 月 11 日

了解有关 Amazon VPC 的更多信息

访问产品详细信息页面
准备好开始构建了吗?
开始使用 Amazon VPC
还有更多问题?
联系我们
contactus-chat

在线聊天咨询
云计算专家一对一解答您的问题与需求

contactus-phone

专属热线咨询
1010 0866 早9:00-晚8:00 (法定假期除外)

contactus-form

联系销售人员
如需了解更多有关 AWS 的信息,请联系AWS云计算专家。